Maintenant, votre cerveau peut être piraté pour vous tuer; implants de neurostimulateur à risque

20 avr.2018

NOUVELLES DE RENÉ MILLMAN

Des chercheurs universitaires ont découvert que les implants cérébraux, appelés neurostimulateurs, peuvent être piratés et empêcher les patients de "parler ou de bouger, de causer des dommages irréversibles à son cerveau, ou pire, de mettre leur vie en danger".

Des chercheurs universitaires ont découvert que les implants cérébraux, appelés neurostimulateurs, peuvent être piratés et empêcher les patients de «parler ou de bouger, de causer des dommages irréversibles à son cerveau, ou pire, de mettre leur vie en danger».

Selon un article publié par le Catholic Univery of Leuven, intitulé Securing Wireless Neurostimulators, et présenté lors de la huitième conférence ACM sur la sécurité des données et des applications et la confidentialité le mois dernier, ces implants sont accessibles à l'aide d'un équipement standard.

Ces implants sont utilisés dans une procédure médicale connue sous le nom de stimulation cérébrale profonde (DBS). Le DBS est utilisé chez les personnes atteintes de la maladie de Parkinson pour soulager leurs symptômes, tels que les tremblements. Les neurostimulateurs peuvent également être utilisés pour traiter des problèmes de santé mentale tels que le TOC et la dépression.

Les chercheurs ont découvert que les dernières générations de neurostimulateurs incluent souvent des capacités sans fil qui permettent une surveillance et une reprogrammation à distance via un programmateur d'appareil externe.

"Bien que l'interface sans fil permette des traitements plus flexibles et personnalisés pour les patients, elle ouvre également la porte aux adversaires pour mener des attaques par radio par logiciel", ont déclaré les chercheurs.

Ils ont ajouté que si de solides mécanismes de sécurité n'étaient pas en place, les adversaires pourraient envoyer des commandes malveillantes au neurostimulateur pour fournir des signaux électriques indésirables au cerveau du patient.

«Par exemple, les adversaires pourraient modifier les paramètres du neurostimulateur pour augmenter la tension des signaux qui sont délivrés en continu au cerveau du patient. Cela pourrait empêcher le patient de parler ou de bouger, causer des dommages irréversibles à son cerveau, ou pire, mettre sa vie en danger », ont déclaré les auteurs de l'article.

Les pirates pourraient également tirer parti de la nature sans fil de la communication pour intercepter les données transmises par voie hertzienne. Les données transmises sont des données personnelles, et certaines d'entre elles sont des données médicales sensibles.

«D'un autre côté, une forme plus sophistiquée d'attaque contre la vie privée consisterait à utiliser des signaux extraits du cerveau pour tirer des conclusions sur les patients. Bien que cela ne soit pas possible actuellement, les générations futures de neurostimulateurs utiliseront les informations extraites des signaux cérébraux des patients pour développer des thérapies plus précises et efficaces », ont déclaré les chercheurs.

Pour atténuer ces attaques, les chercheurs ont déclaré que les appareils avaient besoin d'une architecture de sécurité à travers laquelle le programmeur de l'appareil et le neurostimulateur peuvent se mettre d'accord sur une clé de session qui permet d'amorcer un canal de communication sécurisé.

«Notre solution accorde l'accès au neurostimulateur à tout programmateur d'appareil qui peut toucher la peau du patient pendant quelques secondes. Cela permet de créer un échange de données sécurisé entre les appareils tout en garantissant au personnel médical un accès immédiat au neurostimulateur en cas d'urgence », ont-ils déclaré.

«Notre solution tient compte des contraintes uniques et des exigences fonctionnelles des IMD, ne nécessite que des modifications matérielles mineures dans les appareils et offre une sécurité en amont et en aval.»

Lamar Bailey, directeur de la recherche et du développement de la sécurité chez Tripwire, a déclaré à SC Media UK que la sécurité des dispositifs médicaux est un problème.

«De nombreux hôpitaux ont des plans et des processus détaillés pour construire des salles de consultation externe et d'urgence avec des appareils spécifiques, jusqu'à leur emplacement dans les chambres, mais il n'est pas prévu de mettre à jour le firmware ou le logiciel sur ces appareils», a-t-il déclaré.

«Il n'est pas rare d'avoir plusieurs versions du même appareil à différentes révisions de firmware. De nombreux nouveaux modèles d'équipements médicaux ont des fonctionnalités intégrées pour pouvoir être surveillés à distance, ce qui a ouvert les appareils à des attaques à distance. Il est impératif que les fabricants d’équipements suivent les problèmes et les tendances en matière de sécurité, puis communiquent à leurs clients des mises à jour et des informations sur les raisons pour lesquelles il est important de les mettre à jour. »

Winston Bond, directeur technique EMEA chez Arxan Technologies, a déclaré à SC Media UK que le document montre que les protocoles utilisés pour contrôler ces appareils sont «assez simples et pratiquement sans sécurité».

«C'est à peu près au même niveau que Telnet, un protocole de mise en réseau informatique des années 1960 qu'aucune organisation informatique moderne n'autoriserait à proximité de leurs systèmes», a-t-il déclaré.

«Ce système décrit dans ce document est d'une époque où les périphériques intégrés étaient contrôlés par des machines dédiées et personnalisées. De nos jours, les appareils peuvent être contrôlés via des applications sur des tablettes électroniques standard. Cela aide à résoudre certains problèmes - il est beaucoup plus facile d'installer ou de mettre à jour une application que de s'assurer que chaque hôpital dispose d'un gadget à jour et fonctionnel pour les appareils de chaque fabricant. Mais cela signifie que les pirates n'auront plus à dépendre d'attaques de type "boîte noire". Le logiciel d'application sera là pour leur dire comment communiquer avec l'appareil. »